¿Cómo se inscriben los dispositivos en Workspace ONE UEM?

En general, la inscripción en masa de dispositivos se produce cuando un cliente nuevo desea incluir en Workspace ONE UEM los dispositivos de los usuarios finales de su entorno. Estos casos prácticos detallados muestran cada paso de la inscripción en masa de dispositivos en tres de las rutas más populares: programa de uso de dispositivos personales (BYOD), dispositivos corporativos habilitados de forma personal (COPE) y dispositivos compartidos.

Programa de uso de dispositivos personales (BYOD)

Inquietudes de privacidad

Puede tomar medidas preventivas para abordar las inquietudes en materia de privacidad que puedan tener los usuarios finales del dispositivo. Para obtener instrucciones detalladas sobre cómo configurar los ajustes de privacidad en Workspace ONE UEM, consulte Privacidad para implementaciones de BYOD.

1. Integrar con servicios de directorio

Configurar los servicios de directorio con un asistente

Workspace ONE UEM Console proporciona un asistente simplificado que optimiza el proceso de configuración de los servicios de directorio. El asistente incluye pasos que integran el lenguaje de marcado de aserción de seguridad (SAML) y el protocolo ligero de acceso a directorios (LDAP) o ambos. El asistente también automatiza el aprovisionamiento de aplicaciones de Workspace ONE UEM para VMware Identity Manager y simplifica en gran medida el proceso.

Para obtener más información sobre cómo integrar Workspace ONE UEM con Workspace ONE Access e implementar Workspace ONE con inicio de sesión único en los dispositivos, consulte Integración de Workspace ONE UEM con Workspace ONE Access.

Aviso: Si ya configuró los ajustes de SAML o LDAP en el servidor de servicios de directorio, UEM Console lo detectará automáticamente.

  1. Acceda al asistente de configuración de servicios de directorio desde dos lugares.

    • El asistente de primeros pasos principal de UEM Console.

    • Navegue a Grupos y ajustes > Todos los ajustes > Sistema > Integración empresarial > Servicios de directorio y seleccione Iniciar asistente de configuración.

      Esta captura de pantalla muestra el menú desplegable de la sección Avanzado de los ajustes del sistema Servicios de directorio, donde puede habilitar Azure AD para los servicios de identidad y habilitar SAML para la autenticación.

  2. Al iniciar el asistente, seleccione Configurar para seguir los pasos.

Cómo configurar los servicios de directorio manualmente

Si lo prefiere, puede Omitir el asistente y configurar los servicios de directorio manualmente para configurar los ajustes por su cuenta.

2. Cómo configurar las opciones de inscripción

  1. Cambie al GO de tipo cliente desde el que desea administrar todos los dispositivos BYOD. La configuración de las opciones de inscripción es más fácil cuando se encuentra en el GO correcto. Para obtener más información, consulte Cambiar grupos organizativos.

  2. Navegue a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Inscripción. Si las opciones de la primera pestaña (Autenticación) aparecen atenuadas y no se pueden seleccionar, seleccione la opción Reemplazar en Configuración actual para habilitar todas estas opciones. Esta captura de pantalla parcial muestra la pestaña Autenticación para los ajustes de inscripción

    1. En la pestaña Autenticación, seleccione el botón Agregar dominio de correo electrónico. Se mostrará la pantalla Agregar dominio de correo electrónico.
    2. Introduzca su dominio de correo electrónico empresarial (por ejemplo, acme.com) y una dirección de correo electrónico de confirmación (por ejemplo, [email protected]). Si utiliza varios dominios, repita los pasos 1 y 2 para cada dominio que utilicen los empleados. La dirección de correo electrónico que introduzca aquí recibirá confirmaciones de inscripción.
    3. En Modo(s) de autenticación, anule la selección de Básica y seleccione Directorio. Deje Proxy de autenticación sin marcar.
    4. En Origen de autenticación para Intelligent Hub, habilite Workspace ONE UEM. Si utiliza otros productos VMware como vRA, vShield, NSX, etc., seleccione Workspace ONE Access en su lugar.
    5. En Modo de inscripción de dispositivos, seleccione Inscripción abierta. Este ajuste significa que no está creando una lista de dispositivos que pueden inscribirse y no requiere un token de registro.
    6. Para las tres opciones siguientes de iOS y macOS, inspeccione las insignias de información junto a cada opción para determinar qué opciones son las más adecuadas para su base de usuarios.
    7. Seleccione Guardar.

  3. Mientras aún está en Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Inscripción, seleccione la pestaña Modo de administración. Si las opciones aparecen atenuadas y no se pueden seleccionar, seleccione la opción Reemplazar en Configuración actual para habilitar todas estas opciones. Esta captura de pantalla parcial muestra la pestaña Modo de administración para los ajustes de inscripción

    Los dispositivos inscritos con Intelligent Hub se administran a través de MDM de forma predeterminada. La pestaña Modo de administración le permite no participar en la administración de MDM, por plataforma, para los dispositivos que desee inscribir en Workspace ONE UEM en favor de un mecanismo de administración alternativo, como basado en aplicaciones, modo registrado o sin administrar. Habilite la plataforma y seleccione el grupo inteligente apropiado para permitir que dichos dispositivos se inscriban sin la administración de MDM. La inscripción se puede habilitar en función de los siguientes criterios cuando se utilizan grupos inteligentes: Versión del SO, Tipo de propiedad y Grupo de usuarios. Utilice las directivas de la aplicación de administración adaptativa para controlar los niveles de administración de dispositivos para dispositivos iOS inscritos sin administración. Si desea mantener la administración de MDM, omita esta pestaña de inscripción y continúe con el paso 4 (Integración de Hub).

    1. Para cada plataforma en la que desee no participar en la administración de MDM en favor de un mecanismo de administración alternativo, seleccione el botón Habilitado para esa plataforma.

    2. En Todos los dispositivos [plataforma] de este grupo organizativo, seleccione Habilitado si desea que todos los dispositivos que se inscriban en este grupo organizativo no participen en la administración de MDM. Estos dispositivos se pueden administrar en modo registrado o a nivel de aplicación. También pueden permanecer sin administrar. Seleccione Deshabilitado y haga clic en el cuadro de texto para activar el menú desplegable. Seleccione el nombre del grupo inteligente para asignar contenido a esos dispositivos. Todos los dispositivos de plataformas similares que se inscriban en este GO pero no estén incluidos en el grupo inteligente se inscribirán como administrados por MDM.

      Si aún no ha creado este grupo inteligente, seleccione el botón Crear grupo inteligente en la parte inferior del menú desplegable. A continuación, siga las instrucciones de Crear un grupo inteligente; asegúrese de seguir la ruta Criterios y también de que las plataformas coincidan: cree un grupo inteligente de iOS para el modo de administración de iOS, cree un grupo inteligente de Android para el modo de administración de Android, etc.

    3. Seleccione Guardar.

  4. Mientras aún está en Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Inscripción, seleccione la pestaña Integración de Hub. Si las opciones aparecen atenuadas y no se pueden seleccionar, seleccione la opción Reemplazar en Configuración actual para habilitar todas estas opciones. Esta captura de pantalla parcial muestra la pestaña Integración de Hub para los ajustes de inscripción

    1. En Usar las funciones de los Servicios de Hub en Intelligent Hub, seleccione Habilitado para permitir que los dispositivos de este grupo organizativo se conecten a Workspace ONE Hub Services para acceder a funciones como Catálogo de aplicaciones y Personas. Seleccione Deshabilitado para no utilizar esas funciones de Servicios de Hub.
    2. Seleccione Guardar.

  5. Mientras aún está en Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Inscripción, seleccione la pestaña Términos de uso. Si las opciones aparecen atenuadas y no se pueden seleccionar, seleccione la opción Reemplazar en Configuración actual para habilitar todas estas opciones. Esta captura de pantalla parcial muestra la pestaña Términos de uso para los ajustes de inscripción

    1. En Requerir aceptación de los términos de uso de inscripción, seleccione Habilitado para exigir a los usuarios finales que acepten los términos de uso que especifique antes de que puedan inscribirse. Seleccione Deshabilitado para que la aceptación de los términos de uso sea opcional para la inscripción.
    2. (Opcional) Seleccione el botón Agregar nuevos términos de uso de inscripción y aparecerá la pantalla Crear nuevos términos de uso, donde puede introducir un acuerdo de términos de uso. Puede especificar opciones como Plataformas, Propiedad del dispositivo, Tipo de inscripción e Idioma. Para crear un acuerdo de términos de uso efectivo, consulte a su equipo legal. Seleccione Guardar para guardar el acuerdo.
    3. Seleccione Guardar para guardar las selecciones efectuadas en la pestaña Términos de uso.

  6. Mientras aún está en Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Inscripción, seleccione la pestaña Agrupación. Si las opciones aparecen atenuadas y no se pueden seleccionar, seleccione la opción Reemplazar en Configuración actual para habilitar todas estas opciones. Esta captura de pantalla parcial muestra la pestaña Agrupación para los ajustes de inscripción

    1. En Modo de asignación de ID de grupo, seleccione Predeterminado.
    2. En la sección Predeterminado, para Propiedad predeterminada del dispositivo, seleccione Propiedad del empleado, que es la característica principal de una implementación de BYOD.
    3. En la sección Predeterminado, para Función predeterminada, seleccione Acceso básico, Acceso completo o una función que haya preparado.
    4. En la sección Predeterminado, para Acción predeterminada para usuarios inactivos, seleccione Eliminación empresarial de los dispositivos actualmente inscritos. Esta opción aplica la mayor protección contra la pérdida de datos intelectuales/corporativos en caso de robo o pérdida de un dispositivo.
    5. En la sección Sincronización de grupos de usuarios, para Sincronizar grupos de usuarios en tiempo real para Workspace ONE, seleccione Deshabilitado. Cuando esta opción está habilitada, Workspace ONE sincroniza los grupos de usuarios para un usuario determinado a medida que se registran en UEM Console. Debido a su impacto sobre el rendimiento de Workspace ONE UEM, habilite esta opción solo si los grupos de usuarios cambian con frecuencia, ya que afecta a si se debe permitir el registro de un dispositivo.
    6. En la sección Asignación de funciones de usuario, para Habilitar asignación basada en grupos de directorios, anule la selección de la casilla aquí para no aplicar funciones basadas en los grupos de usuarios de los servicios de directorio. Habilite la casilla de verificación para tener en cuenta todos los grupos de usuarios de su servicio de directorio y utilice esa información para asignar funciones específicas. Por ejemplo, puede aplicar "Función x" a todos los usuarios del grupo de usuarios del servicio de directorio "Administradores" y aplicar "Función y" a todos los que se encuentren en otro grupo de usuarios.

  7. Mientras aún está en Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > Inscripción, seleccione la pestaña Restricciones. Si las opciones aparecen atenuadas y no se pueden seleccionar, seleccione la opción Reemplazar en Configuración actual para habilitar todas estas opciones.

    Esta captura de pantalla parcial muestra la pestaña Restricciones para los ajustes de inscripción1. Si los usuarios finales del dispositivo no se agregaron como usuarios a Workspace ONE UEM y van a inscribir dispositivos por primera vez, en Control de acceso de usuario, deje la casilla de verificación Restringir la inscripción a los usuarios conocidos en blanco (sin seleccionar). Sin embargo, si tiene usuarios importados en masa o los envió al Portal de autoservicio para que se agreguen ellos mismos, es posible que considere habilitar esta casilla. 2. Si no integró el servicio de directorio con los grupos de usuarios, en Control de acceso de usuario, deje la casilla de verificación Restringir la inscripción a los usuarios conocidos en blanco (sin seleccionar). Sin embargo, si integró el servicio de directorio de forma intencionada con Workspace ONE UEM que crea grupos de usuarios en UEM basados en sus grupos de usuarios en los servicios de directorio, considere habilitar esta casilla para limitar la inscripción solo a aquellos usuarios que formen parte de uno de esos grupos de usuarios del servicio de directorio.

    Esta captura de pantalla parcial muestra la pestaña Restricciones para los ajustes de inscripción3. En la sección Ajustes de directivas, puede seleccionar el botón Agregar directiva para limitar manualmente la inscripción en función de los factores que decida. Estos factores incluyen el tipo de propiedad, el tipo de inscripción, la plataforma del dispositivo, el modelo de dispositivo y el sistema operativo.

    Esta captura de pantalla muestra la pantalla Agregar/Editar directiva de restricción de inscripción, que le permite limitar la inscripción de forma sencilla

    Puede definir varias directivas, por ejemplo, una directiva por plataforma, especificar un modelo mínimo o una versión de SO, y permitir que solo se inscriban esos dispositivos. Puede ser una herramienta eficaz, como puede ver más adelante en el paso 5.

    Esta captura de pantalla parcial muestra la pestaña Restricciones para los ajustes de inscripción4. En la sección Requisitos de administración para Workspace ONE, cuando la opción Requerir MDM para Workspace ONE está habilitada, los dispositivos que se ajusten a los criterios asignados recibirán una solicitud para inscribirse inmediatamente al iniciar sesión en Workspace ONE. Los dispositivos que no se ajusten a los criterios asignados pueden iniciar sesión con un estado sin administrar. Pueden pasar a estar administrados posteriormente mediante la administración adaptativa. Esta opción requiere la aplicación Workspace ONE 3.2 o posterior.

    Esta captura de pantalla parcial muestra la pestaña Restricciones para los ajustes de inscripción5. En la sección Ajustes de asignación de grupo puede aplicar las directivas que defina en el paso 3 y enviar los dispositivos aptos al grupo de usuarios que elija.

    Por ejemplo, si ha creado una directiva de restricción que solo permitía dispositivos Android versión 10 o posterior propiedad del empleado (BYOD) y una segunda directiva de restricción que solo permitía dispositivos iPhone versión 15 o posterior propiedad del empleado (BYOD), puede configurarla para que los usuarios de Android se agreguen a un grupo de usuarios y los usuarios de iPhone se agreguen a otro grupo de usuarios. Dicha organización puede resultar útil en el futuro para la administración de contenido.

  8. Las pestañas restantes, Indicación opcional y Personalización, son opciones fáciles de usar por parte del usuario final del dispositivo que son menos críticas para la funcionalidad BYOD. Para obtener instrucciones detalladas sobre cada opción disponible, consulte Indicación opcional y Personalización.

3. Inscribir con Intelligent Hub

La inscripción de un dispositivo con Workspace ONE Intelligent Hub es la opción principal para dispositivos Android, iOS y Windows en Workspace ONE Express y Workspace ONE UEM.

  1. Descargue e instale Workspace ONE Intelligent Hub desde la Google Play Store (para dispositivos Android) o desde la App Store (para dispositivos Apple).

    Para descargar Workspace ONE Intelligent Hub de las tiendas de aplicaciones públicas, se requiere un Apple ID o una cuenta de Google.

    Los dispositivos Windows 10 deben indicar el navegador predeterminado del dispositivo a https://getwsone.com para descargar el Hub.

  2. Ejecute Workspace ONE Intelligent Hub tras completar la descarga o vuelva a la sesión del navegador.

    Importante: Para garantizar el éxito de la instalación y la ejecución de Workspace ONE Intelligent Hub en el dispositivo Android, deberá tener un mínimo de 60 MB de espacio disponible. Puede asignar CPU y memoria de tiempo de ejecución por aplicación en la plataforma Android. Si una aplicación utiliza más recursos de los asignados, los dispositivos Android se optimizan forzando el cierre de la aplicación.

  3. Introduzca su dirección de correo electrónico cuando se le solicite. Workspace ONE Console comprueba si su dirección se agregó al entorno. De ser así, ya estará configurado como usuario final y su grupo organizativo ya estará asignado.

    Si Workspace ONE Console no puede identificarlo como usuario ya configurado basándose en la dirección de correo electrónico, se le pedirá que introduzca el Servidor, ID de grupo y las Credenciales. El administrador puede proporcionar la dirección URL del entorno y el ID de grupo.

  4. Finalice la inscripción con la ayuda de los mensajes restantes. Puede utilizar su dirección de correo electrónico en lugar de su nombre de usuario. Si dos usuarios tienen el mismo correo electrónico, se produce un error en la inscripción.

El dispositivo está ahora inscrito con la aplicación Workspace ONE Intelligent Hub. En la pestaña Resumen de la Vista de detalles del dispositivo de este dispositivo, el panel de seguridad muestra "Hub registrado" para reflejar este método de inscripción.

Inscripción directa de dispositivos corporativos habilitados de forma personal (COPE) de Workspace ONE

La inscripción directa representa la forma más sencilla de inscribir dispositivos corporativos habilitados de forma personal (COPE). El modelo COPE ofrece a las empresas una forma de conseguir el equilibrio entre la orientación de los dispositivos a los consumidores y la seguridad y control requeridos por la TI.

Como administrador, puede configurar la inscripción directa con las opciones que desee. Estas opciones incluyen configurar un mensaje opcional, restringir por tipo de dispositivo, limitar por grupo de usuarios y aplazar la instalación de aplicaciones para el usuario.

La Inscripción directa está desactivada de forma predeterminada. Para habilitar la inscripción directa de Workspace ONE, lleve a cabo los siguientes pasos.

  1. Elija el grupo organizativo en el que quiera habilitar la inscripción directa de Workspace ONE. El GO al que desea mover es aquel en el que va a incluir todos los dispositivos COPE que se inscriban. Este mismo GO es el que seleccionará en un futuro cercano para administrar los grupos inteligentes que utiliza para distribuir perfiles de dispositivos para COPE, directivas de conformidad para COPE, aplicaciones para COPE y otro contenido para COPE.
  2. Acceda a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > General > Inscripción y seleccione la pestaña Restricciones.

  3. Desplácese hacia abajo, hasta la sección Requisitos de administración de Workspace ONE y seleccione las opciones de configuración pertinentes. Si fuera necesario, seleccione la opción Reemplazar para los ajustes del GO principal.

    Esta captura de pantalla parcial muestra la pestaña Restricciones para los ajustes de inscripción

    Ajustes Descripción
    Requiere MDM para Workspace ONE Solicite la inscripción de dispositivos y usuarios justo después de que inicien sesión en Workspace ONE.
    Los dispositivos que no cumplan los criterios definidos tienen permiso para inscribir como dispositivos no administrados y pueden pasar a estar administrados posteriormente (administración adaptativa).
    Grupo de usuarios asignado Esta opción especifica el grupo de usuarios que desea incluir en el proceso de inscripción directa. También puede seleccionar Todos los usuarios, que es la selección predeterminada cuando se habilita Requerir MDM para Workspace ONE.
    iOS Habilite esta opción para incluir los dispositivos iOS. Si se desactiva, los dispositivos iOS no son aptos para la inscripción directa, aunque pueden inscribirse en Workspace ONE UEM como no administrados.
    Legado de Android Habilite esta opción para incluir los dispositivos Android heredados. Si se desactiva, los dispositivos Android heredados no son aptos para la inscripción directa, aunque pueden inscribirse en Workspace ONE UEM como no administrados.
    Empresa de Android Habilite esta opción para incluir dispositivos empresariales de Android. Si se desactiva, los dispositivos Android Enterprise no son aptos para la inscripción directa, aunque pueden inscribirse en Workspace ONE UEM como no administrados.

Los pasos restantes están pensados para que los realice el usuario final. Por lo general, la forma de conseguirlo es enviar a los usuarios finales un correo electrónico con pasos detallados de inscripción.

  1. Indique al usuario final que descargue, instale y ejecute la aplicación Workspace ONE desde el repositorio o la tienda de aplicaciones específicos de la plataforma.
  2. Introducir la dirección URL del servidor o el correo electrónico. Puede incluir esta información en el correo electrónico de inscripción para los usuarios finales.
  3. Introducir el nombre de usuario y la contraseña de los servicios de directorio.
  4. Instale o habilite Workspace Services seleccionando los pasos afirmativos específicos de su plataforma.
    1. iOS: permita que el servidor abra la configuración, introduzca el código de acceso del dispositivo, instale un perfil de dispositivo sin firmar y abra una pantalla en el área de trabajo.
    2. Android heredado: instale Workspace ONE Intelligent Hub, permita que realice y gestione llamadas telefónicas, seleccione el tipo de propiedad del dispositivo con la opción de especificar el número de activo del dispositivo, active la aplicación de administración del dispositivo y, a continuación, inicie sesión en Workspace ONE.
    3. Empresa de Android: acepte o rechace el acuerdo de términos de uso, configure el perfil de trabajo y cree el código de acceso de Workspace ONE.
  5. Cuando Workspace ONE finalice la instalación, los usuarios finales podrán Continuar para instalar aplicaciones.
  6. Los usuarios finales pueden seleccionar aplicaciones individuales de una lista para instalarlas, Instalar todas u Omitir este paso por completo.

Opciones compatibles con la inscripción directa de Workspace ONE

Vaya a Grupos y ajustes > Todos los ajustes > Dispositivos y usuarios > General > inscripción, seleccione las pestañas correspondientes y seleccione opciones en función de su compatibilidad con la inscripción directa de Workspace ONE.

Autenticación

Las siguientes opciones de autenticación son compatibles con la inscripción directa de Workspace ONE.

  • Usuarios de directorio.
  • Los usuarios de SAML con Active Directory son compatibles sobre la marcha. Los usuarios de SAML sin LDAP son compatibles siempre que ya exista un registro de esos usuarios en Workspace ONE UEM en el momento del primer inicio de sesión.
  • Los usuarios básicos, los usuarios de inscripción preparada, los usuarios de SAML sin directorio y los usuarios de proxy de autenticación no son compatibles en estos momentos.
  • Inscripción abierta.
  • Workspace ONE no audita la opción Requerir la inscripción de Workspace ONE Intelligent Hub para iOS o macOS, que se utiliza para bloquear la inscripción web en las respectivas plataformas.

Términos de uso

Todas las opciones de términos de uso son compatibles con la inscripción directa de Workspace ONE.

Agrupación

Todas las opciones de agrupación son compatibles con la inscripción directa de Workspace ONE.

Restricciones

Las siguientes opciones de restricción son compatibles con la inscripción directa de Workspace ONE.

  • Usuarios conocidos y Grupos configurados.
  • Límite máximo de dispositivos inscritos.
  • Los ajustes de políticas son compatibles en parte.
    • Tipos de propiedad admitidos: Workspace ONE solo envía indicaciones para dispositivos que son propiedad de un empleado o que son corporativos dedicados. Si no quiere admitir ninguno de estos tipos, desactive las indicaciones opcionales y utilice el tipo de propiedad predeterminado.
    • Los tipos de inscripción admitidos no son compatibles.
  • La plataforma y el modelo del dispositivo, así como las restricciones de SO, son compatibles.
  • Restricciones de grupos de usuarios.

Indicaciones opcionales

Las siguientes opciones de indicaciones opcionales son compatibles con la inscripción directa de Workspace ONE.

  • Solicitar propiedad del dispositivo.
  • Solicitar número de recurso (solo es compatible cuando la opción Solicitar propiedad del dispositivo esté habilitada).
  • No son compatibles las demás indicaciones opcionales.

Personalización

Las siguientes opciones de personalización son compatibles con la inscripción directa de Workspace ONE.

  • Utilizar una plantilla de mensaje específica para cada plataforma.
  • Dirección URL de destino posterior a la inscripción (solo iOS).
  • Mensaje de perfil de MDM (solo iOS).
  • Utilizar aplicaciones de MDM personalizadas.
  • No son compatibles los correos electrónicos y los teléfonos de soporte para la inscripción.

Inscripción preparada

No se admite la inscripción preparada de dispositivos en este modelo COPE mediante el proceso de inscripción directa. Si debe preparar una inscripción de dispositivo, ya sea para uno o varios usuarios, tendrá que inscribir el dispositivo mediante Workspace ONE Intelligent Hub según las siguientes configuraciones específicas de la plataforma:

Dispositivos compartidos

check-circle-line exclamation-circle-line close-line
Scroll to top icon